Podría decirse que dos de las normas más importantes de las que disponen las empresas en la actualidad son la Gestión de la Seguridad de la Información (ISO/IEC 27001) y la Gestión de la Continuidad del Negocio (ISO 22301), que constituyen los estándares internacionales de referencia en materia de seguridad de la información y gestión de riesgos.
La Gestión de la Seguridad de la Información proporciona un marco para gestionar los riesgos y mantener la seguridad de los activos de información, especialmente en lo que se refiere a la ciberseguridad y la privacidad de los datos. La gestión de la continuidad del negocio (BCM) se centra en mejorar la resiliencia de las organizaciones, garantizando que las funciones críticas (como las que se sustentan en los servicios en la nube) sigan operativas en momentos de crisis y de grandes interrupciones.
En la era digital, estas dos normas se combinan para formar la base de la «confianza digital», un término que describe la confianza que los clientes y las partes interesadas tienen en la seguridad de su ecosistema digital, su cadena de suministro y sus operaciones.
Para los miles de clientes nuestros que han obtenido estas certificaciones, es una forma de demostrar de inmediato a sus clientes que se toman en serio la privacidad de los datos, la seguridad y la resiliencia operativa. Estas normas dan a las partes interesadas la confianza de que el negocio puede y seguirá funcionando con normalidad en caso de que su red o las de sus socios en la nube sufran una interrupción, un fenómeno meteorológico grave, un ciberataque o cualquier otra situación similar.
A continuación, compartimos nuestros seis consejos principales para generar confianza digital a través de sólidos procesos de seguridad de la información y una planificación robusta de la continuidad del negocio y de la nube, inspirados en el enfoqueque se recogen en las normas ISO/IEC 27001 e ISO 22301.
1. Realice una evaluación de riesgos de ciberseguridad
Es esencial definir todas las posibles amenazas a las que podría enfrentarse su empresa. Esto incluye analizar el impacto potencial de múltiples escenarios y considerar si alguno de ellos le expondría a graves problemas normativos. Su evaluación también debe incluir a los proveedores, dado el grado de riesgo que entrañan las cadenas de suministro distribuidas y globalizadas, y a los socios de la nube, ya que estos servicios son fundamentales para muchas aplicaciones empresariales críticas y albergan gran cantidad de datos confidenciales.
2. Elabore un plan
En caso de un incidente grave de ciberseguridad o de una interrupción de las operaciones, su organización debe tener en cuenta las siete «P» necesarias para mantener la actividad y preservar la seguridad de la información: proveedores (internos y externos), rendimiento (acuerdos de nivel de servicio que debe cumplir), procesos, personas, instalaciones, perfil (su marca) y preparación.
Tras su evaluación de riesgos, elabore un plan que describa los requisitos mínimos de seguridad, continuidad y privacidad de la empresa, los clientes y los proveedores en cada una de las «P», y cómo los cumplirá durante un incidente de ciberseguridad o un ataque. También debe asignar la responsabilidad de garantizar que se cumplan. Recuerde: el plan puede variar ligeramente según las circunstancias, así que plantee diferentes escenarios que pueda esperar razonablemente en su sector o mercado para prepararse ante cualquier eventualidad.
3. Ponga a prueba su plan
Los simulacros le permiten detectar deficiencias en su seguridad de la información y en la continuidad de los servicios en la nube, de modo que pueda confiar en su sistema de defensa en caso de un ataque. También podría considerar la posibilidad de incluir a partes interesadas externas, especialmente clientes, proveedores y proveedores de servicios en la nube.
Para sus pruebas, piense en cómo responder a las repercusiones de una emergencia de seguridad de la información o a un riesgo para la continuidad más allá de la pérdida o la interrupción de los datos, como pérdidas económicas importantes, interrupciones en la cadena de suministro e incluso la destrucción física de la propiedad.
4. Fomente la confianza en su activo más crítico: las personas
La mayoría de las fallas en la seguridad de la información son el resultado de errores humanos. Un programa sólido de formación y certificación es una parte vital de cualquier política de gestión de la información: muchas infracciones se deben simplemente a que empleados inconscientes hacen clic en enlaces de correos electrónicos maliciosos. Asegurarse de que el personal tenga los conocimientos suficientes para detectar riesgos para la confianza digital y responder rápidamente a cualquier problema que afecte a la seguridad de la información es fundamental para su resiliencia general.
5. Adoptar un enfoque de «confianza cero» para la seguridad de la red
Gartner considera que el acceso a la red de confianza cero (ZTNA), la modalidad de seguridad de red que más rápido está creciendo, experimentará un crecimiento del 31 % en 2023 y sustituirá por completo a las VPN para 2025. Un enfoque de «confianza cero» para la seguridad de la red parte de la base de que no existe un perímetro de red y se centra, en su lugar, en validar, autenticar y autorizar de forma continua el acceso de los usuarios a los datos y las aplicaciones. En el mundo del trabajo híbrido, toda empresa que se tome en serio el aumento de su resiliencia frente a los ciberataques debería explorar cómo el ZTNA puede funcionar en su caso.
6. Colabore con su cadena de suministro para comprender y reforzar sus procesos de gestión de la seguridad de la información
Para 2025, el 45 % de las organizaciones sufrirá ataques en sus cadenas de suministro de software, — tres veces más que en 2021. Esto ilustra que los riesgos para la seguridad de la información abarcan todo el ecosistema digital, tanto dentro como fuera de una organización. Refuerce la confianza digital colaborando con proveedores cuyo enfoque de la seguridad de la información coincida con el suyo e incluyendo políticas definidas en sus contratos.
Nuestra visión es ayudar a los clientes a generar confianza en la era digital, garantizando que las interacciones entre empresas y personas sean atractivas y seguras. Ponte en contacto con nosotros para saber más sobre cómo podemos ayudarte en tu camino hacia una mayor confianza digital.
